Hogyan kezelik a böngészők a visszavont SSL-t /TLS Tanúsítványok?

Az SSL visszavonási állapotának ellenőrzésére szolgáló jelenlegi böngészőprogramok adataiTLS tanúsítványok, beleértve a böngészők közötti tesztet.

Bevezetés

Az SSL visszavonási állapotának ellenőrzése /TLS által bemutatott tanúsítványok HTTPS a webhelyek továbbra is problémát jelentenek az internetes biztonság területén. Kivéve, ha egy kiszolgálót konfiguráltak használni OCSP tűzés, a webböngészők általi online visszavonás ellenőrzése lassú és magánéletét veszélyeztető. Mivel az online OCSP-lekérdezések olyan gyakran kudarcot vallanak, és bizonyos esetekben lehetetlenek (például a rögzített portálok esetében), a böngészők általában „soft-fail” módban valósítják meg az OCSP-ellenőrzést, ami hatástalanná teszi egy elszánt támadó elrettentését. (A kérdés teljesebb történetéhez olvassa el az SSL.com cikkét, Oldalterhelés optimalizálása: OCSP tűzés).

Ezen okok miatt a böngészők számos megoldást vezettek be az online visszavonás-ellenőrzés szükségességének csökkentésére vagy kiküszöbölésére. A pontos részletek a szolgáltatótól függően változnak, de ezek a megoldások általában a visszavont tanúsítványok listájának összegyűjtését a tanúsító hatóságoktól (CA) és böngészőkhöz tolják.

Ez a cikk magas szintű összefoglalókat tartalmaz a nagyobb asztali böngészők által alkalmazott ellenőrzési ellenőrzési stratégiákról (króm, Firefox, Safariés él), és összehasonlítja ezen böngészők válaszát valamilyen mintával visszavont tanúsítványok az SSL.com házigazdája.

A visszavont tanúsítványokból származó böngésző hibaüzenetek példáit lásd: Ez az útmutató. A tanúsítvány visszavonási állapotát itt ellenőrizheti cert.revocationcheck.com
Ugrás az oldal tetejére

Google Chrome

A Chrome támaszkodik CRL -készletek visszavonási ellenőrzéshez. A CRLSet egyszerűen a visszavont tanúsítványok listája, amelyet szoftverfrissítésként adnak a böngészőhöz. Szerint a Chromium Projects webhely, azok a folyamatok, amelyekkel a Google előállítja a CRLSets-t, szabadalmaztatottak, de ezek is

A CRLSetek ... elsősorban azok az eszközök, amelyekkel a Chrome gyorsan blokkolhatja a tanúsítványokat vészhelyzetekben. Másodlagos funkcióként tartalmazhatnak néhány nem sürgősségi visszavonást is. Ez utóbbi visszavonás a CA-k által közzétett CRL-ek feltérképezésével érhető el.

A fenti állítás legalább ezt jelzi néhány Az alacsony prioritású visszavont végfelhasználói tanúsítványok a CRLSets-ben is megjelenhetnek, de ezek másodlagos szempont.

Ellenőrizheti a Chrome-példányhoz jelenleg telepített CRLSet verziót, ha navigál a chrome://components/:

CRLSet verzió

Jegyzet: A Chromium-alapú Opera böngésző a visszavonási ellenőrzéshez a CRL-készleteket is használja. A telepített verziót a következő navigálással ellenőrizheti opera://components. Amint rámutatott lent, a Microsoft Edge böngészőjének jelenlegi verziója szintén a Chromiumon alapul, és CRLSeteket használ.

Jelenleg nem lehet közvetlenül konfigurálni a Chrome-ot online tanúsítvány érvényességi lekérdezések végrehajtására. Az operációs rendszertől függően azonban ezeket az ellenőrzéseket az operációs rendszer által használt mögöttes tanúsító könyvtár hajthatja végre. (Ahogy látható lent A korlátozott böngészőtesztek eredményeiből kiderült, hogy a Chrome azonos verziószámú és CRLSet-telepítései két visszavont tanúsítványra valóban eltérően reagálnak a Windows és a MacOS között.)

Ugrás az oldal tetejére

Mozilla Firefox

A Google-hoz hasonlóan a Mozilla a visszavont tanúsítványok központosított jegyzékét is fenntartja OneCRL. A OneCRL egy olyan köztes tanúsítványok listája, amelyeket a CA-k visszavontak a Mozilla gyökérprogramjában, és amelyet az alkalmazásfrissítések a Firefox-felhasználóknak továbbítanak. A végső entitás tanúsítványait illetően a Mozilla visszavonási terv megjegyzi, hogy "A jövőben, miután a kezdeti megvalósítás működni fog, átgondolhatjuk, hogy az EE tanúsítványokat lefedjük-e a OneCRL-lel, esetleg kezdetben meghatározott osztályokra (pl. EV tanúsítványokra) összpontosítva."

A OneCRL letölthető JSON-objektumként itt, vagy weboldalként tekinthető meg a crt.sh.

A Chrome-tól eltérően a Firefox alapértelmezett beállításai az OCSP válaszadókat is megkérdezik az SSL /TLS tanúsítványokat. (Ezt a beállítást a Firefox biztonsági beállításai között módosíthatja.)

Lekérdezés OCSP válaszadó szerverekről

Mivel azonban az OCSP lekérdezési hibák olyan gyakoriak, a Firefox (más böngészőkhöz hasonlóan) „soft-fail” házirendet hajt végre. Ha kívánja, szigorú OCSP-ellenőrzést igényelhet a következőre történő navigálással: about:config és váltás security.OCSP.require nak nek true.

Ugrás az oldal tetejére

Apple Safari

Az Apple jelenlegi visszavonási megközelítését Bailey Basile tárgyalja a WWDC 2017. évi beszélgetésében, Saját alkalmazások és változó hálózati biztonsági szabványok. Az Apple összegyűjti a tanúsítvány-visszavonási információkat az eszközeiben megbízható hitelesítésszolgáltatóktól, és mindezt egyetlen csomagba összesíti, amelyet az Apple kliensszoftvere rendszeresen lekér (ez már megszokott tervnek tűnik?).

Amikor egy ügyfélalkalmazás találkozik az Apple listájában szereplő tanúsítvánnyal, OCSP-ellenőrzést hajt végre annak megerősítésére, hogy a tanúsítvány valóban visszavonásra került (hacsak a kiszolgáló nem ad kapcsolt OCSP-választ). Vegye figyelembe, hogy az online OCSP-ellenőrzéseket csak az Apple által már visszavontnak vélt tanúsítványok esetében végzik; Az Apple-től letöltött csomagban nem szereplő tanúsítványok nincsenek ellenőrizve.

Elérhető az Apple visszavonási listájára mutató link és annak elemzéséhez szükséges kód itt.

Ugrás az oldal tetejére

Microsoft él

A Windows fenntartja a visszavont vagy egyéb módon feketelistára felvett tanúsítványok listáját az úgynevezett fájlban disallowedcert.stl. Ezt blogbejegyzés információt nyújt a fájl tartalmának a PowerShell-lel történő lerakásáról. crt.sh információt nyújt arról is, hogy egy adott tanúsítvány szerepel-e a disallowedcert.stl.

A Firefoxhoz hasonlóan a Windows is úgy van beállítva, hogy alapértelmezés szerint ellenőrizze a tanúsítvány visszavonását. Ez a beállítás megtekinthető és módosítható a Internet tulajdonságai kezelőpanel:

Az Edge jelenlegi (Chromium-alapú) verziója, például a Chrome, azonban a visszavonás ellenőrzéséhez a CRLSets-re támaszkodik, és megjelenik a tesztjeinken lent hogy független legyen az Internet tulajdonságai visszavonás-ellenőrzési beállításaitól. (Jegyzet: Ezen tesztek előző, 2019 szeptemberében készült verziójában az Internet Explorer és az Edge Chromium előtti verziója tett kövesse ezeket a beállításokat az Internet tulajdonságai között.)

Ugrás az oldal tetejére

Változás a böngészők között

Mivel az SSLSZ webszerverek csoportját tartja fenn, amelyek visszavont tanúsítványokat tárolnak, úgy döntöttünk, hogy számos asztali böngészővel teszteljük őket. Ezt a kicsi, nem is túl borzasztóan tudományos tesztet 23. február 2020-án hajtották végre. A használt böngészők a következők voltak:

  • Chrome 88.0.4324.182, CRLSet 6444-es verzió (macOS 10.15.7)
  • Chrome 88.0.4324.182, CRLSet 6444 verzió (Windows 10 Pro)
  • Edge 88.0.705.74, CRLSet 6444 verzió (Windows 10 Enterprise)
  • Firefox 86.0 - OCSP-lekérdezések (macOS 10.15.7)
  • Firefox 86.0 - OCSP lekérdezések kikapcsolva (macOS 10.15.7)
  • Safari 14.0.3 (macOS 10.15.1)

Ezenkívül teszteltük a Chrome-ot és az Edge-t a Windows-ban, az internetes tulajdonságok vezérlőpultján letiltva az online visszavonás-ellenőrzést, és (a Chrome, Firefox és Edge esetében) megvizsgáltuk, hogy a megfelelő tanúsítvány visszavontként szerepel-e egy adott böngészőprogramban a crt.sh.

  Chrome (macOS) Chrome (Windows) Edge (Windows) Firefox (Mac) (OCSP be) Firefox (Mac) (OCSP ki van kapcsolva) Safari (Mac)
visszavont-rsa-dv.ssl.com visszavont Nem vontak vissza Nem vontak vissza visszavont Nem vontak vissza visszavont
visszavont-rsa-ev.ssl.com visszavont visszavont visszavont visszavont Nem vontak vissza visszavont
visszavont-ecc-dv.ssl.com visszavont Nem vontak vissza Nem vontak vissza visszavont Nem vontak vissza visszavont
visszavont-ecc-ev.ssl.com visszavont visszavont visszavont visszavont Nem vontak vissza visszavont

Az eredmények megvitatása

Króm: Windows rendszeren a Chrome helytelenül mutatta meg a visszavont tanúsítványok közül kettőt (visszavont-rsa-dv.ssl.com és a visszavont-ecc-dv.ssl.com) érvényesnek, a többiek pedig visszavontnak. Az érvényesítési ellenőrzés letiltása az operációs rendszerben nem változtatta meg ezt a választ. Érdekes módon a CRLSetben a négy tanúsítvány közül egyiket sem mutatták visszavontként crt.sh a teszt idején további kérdéseket vet fel a Chrome visszavonás-ellenőrzési folyamataival kapcsolatban. A MacOS rendszeren a Chrome helyesen mutatta vissza mind a négy tanúsítványt visszavontként, ami a platform viselkedésbeli eltéréseit szemlélteti a Chrome viselkedésében.

Él: Az Edge jelenlegi (Chromium-alapú) verziója tükrözi a Chrome-ot visszavont-rsa-dv.ssl.com és a visszavont-ecc-dv.ssl.com mint érvényes. A Chrome-hoz hasonlóan az Edge is ugyanazokat az eredményeket mutatta, függetlenül attól, hogy az érvényesítés ellenőrzése engedélyezve volt-e az operációs rendszerben. A négy tanúsítvány egyike sem volt feltüntetve a listában disallowedcert.stl on crt.sh.

Firefox: Amint az várható volt a OneCRL közbenső tanúsítványokra való összpontosításától, a Firefox csak a négy tanúsítványt ismerte el visszavontként, ha a böngésző beállításaiban engedélyezték az OCSP-lekérdezéseket, de mind a négyet érvényesnek fogadta el, ha az OCSP-lekérdezéseket letiltották. (Jegyzet: Mind a négy visszavont végfelhasználói tanúsítványt érvényes, nem visszavont intermedierekből adták ki.) Mint a Chrome esetében, crt.sh nem jeleníti meg a OneCRL-ben visszavont tanúsítványok egyikét sem.

Szafari: A macOS Safari helyesen ismerte fel mind a négy tanúsítványt visszavontként. crt.sh nem jeleníti meg az Apple visszavonási adatait, és nem ellenőriztük, hogy az adott tanúsítványok az Apple által visszavontan szerepelnek-e.

Ugrás az oldal tetejére

Következtetés

Az eredmények azt jelzik, hogy a visszavonás továbbra is problémás kérdés az asztali böngészők számára (a mobileszközök egészen más világot képviselnek, de ez egy másik cikk témája). A (lassú, bizonytalan) online OCSP-ellenőrzés engedélyezésére szükség volt a tanúsítványok Firefoxban visszavontként történő felismeréséhez, míg a Chrome és az Edge nem ismert fel két visszavont tanúsítványt a Windows rendszeren, függetlenül attól, hogy a visszavonás ellenőrzése engedélyezve volt-e az operációs rendszerben.

A webhelytulajdonosok számára bölcs dolog feltételezni, hogy a különféle böngészőprogramok nagy prioritású / vészhelyzeti eseményekre összpontosítanak, például visszavont gyökér- és köztes CA-tanúsítványokra, és hogy a kertészeti változat végfelhasználói tanúsítványainak visszavonása valószínűleg észrevétlenül alakul ki egy határozatlan idejű. Ezért a végrehajtás OCSP tűzés és kötelező tűzés A magántulajdonban lévő, legbiztonságosabb és leghatékonyabb módszer annak biztosítására, hogy a végfelhasználók pontos információkat kapjanak a végfelhasználói tanúsítványok visszavonásáról.

 

Az SSL.com széles skáláját kínálja SSL /TLS szerver tanúsítványok HTTPS webhelyekhez.

Hasonlítsa össze az SSL-t /TLS BIZONYÍTVÁNYOK

SSL.com támogatási csapat

Szerző - Tartalom Rendszergazda
Minden hozzászólás

Kapcsolódó blogbejegyzések

Összes blogbejegyzés megtekintése
Facebook Linkedin Twitter Youtube GitHub

Mi az SSL /TLS?

Videó lejátszása

Feliratkozás az SSL.com hírlevelére

Ne hagyja ki az SSL.com új cikkeit és frissítéseit

Örülnénk a visszajelzésének

Töltse ki felmérésünket, és ossza meg velünk véleményét legutóbbi vásárlásával kapcsolatban.

Kérdőívet kitölteni